Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Website Security Solutions

Heartbleed no OpenSSL: a hora de agir é agora!

Created: 16 Apr 2014 • Translations available: English, Français, Deutsch, Italiano, 日本語, Español
Tom Powledge's picture
0 0 Votes
Login to vote

ghp-outbreak-flamer-threat-hero-2.jpg

Semana passada, uma vulnerabilidade conhecida como "Heartbleed" foi encontrada na popular biblioteca de software criptográfico OpenSSL (http://heartbleed.com). O OpenSSL é amplamente usado, muitas vezes com aplicativos e servidores Web como Apache e Nginx. As versões do OpenSSL de 1.0.1 até 1.0.1f contêm essa vulnerabilidade, que pode ser explorada por invasores para ler a memória dos sistemas. O acesso à memória pode levar os invasores a obterem chaves secretas, permitindo que eles decifrem e interceptem comunicações criptografadas por SSL e se façam passar por provedores de serviços. Os dados na memória também podem conter informações confidenciais, inclusive nomes de usuário e senhas.

O Heartbleed não é uma vulnerabilidade do SSL/TLS, e sim um bug de software na implementação da extensão heartbeat do OpenSSL. O SSL/TLS não foi enfraquecido; ele ainda é o padrão ouro para criptografia de dados em trânsito na Internet. Porém, devido à popularidade do OpenSSL, aproximadamente 66% dos servidores da Internet ou dois terços dos servidores Web (segundo o relatório da Netcraft sobre servidores Web) podem estar utilizando esse software. Recomenda-se às empresas que usam o OpenSSL que o atualizem para a última versão corrigida do software (1.0.1g) ou recompilem o OpenSSL sem a extensão heartbeat o mais rápido possível.

Sendo a principal autoridade de certificação do mundo, a Symantec já tomou medidas para reforçar seus sistemas. Nossas raízes não correm risco; no entanto, estamos seguindo as melhores práticas e recriamos as chaves de todos os certificados nos servidores Web que contêm as versões afetadas do OpenSSL.

Depois que as empresas atualizarem ou recompilarem seus sistemas, a Symantec recomenda que os clientes substituam todos os seus certificados em servidores Web, seja qual for o emissor, para reduzir os riscos de violações à segurança. A Symantec oferecerá certificados substitutos gratuitos para todos os clientes.

Por fim, a Symantec solicita aos clientes que redefinam as senhas de seus consoles de gerenciamento SSL e com assinatura de código. Mais uma vez, trata-se da melhor prática; encorajamos as empresas a solicitarem que seus clientes finais façam o mesmo depois que os sistemas tiverem aplicado a correção. Continuaremos a trabalhar com nossos clientes a fim de minimizar o impacto dos riscos de segurança provenientes dessa vulnerabilidade.

Para sua conveniência, eis um resumo das etapas a serem seguidas:

Para empresas:

  • Todos aqueles que usam o OpenSSL 1.0.1 até 1.0.1f devem atualizá-lo para a última versão corrigida do software (1.0.1g) ou recompilar o OpenSSL sem a extensão heartbeat.
  • As empresas também devem substituir o certificado nos respectivos servidores Web após migrarem para uma versão corrigida do OpenSSL.
  • Por fim, como melhor prática, também é recomendável que as empresas redefinam as senhas dos usuários finais que possam ter ficado visíveis na memória de um servidor comprometido.

Para os consumidores:

  • Esteja ciente da possibilidade de seus dados terem sido vistos por um terceiro se você tiver usado um provedor de serviços vulnerável.
  • Monitore as notificações enviadas pelos fornecedores que você usa. Se um fornecedor vulnerável comunicar aos clientes que devem alterar suas senhas, os usuários devem seguir essa instrução.
  • Evite possíveis e-mails de phishing enviados por invasores solicitando a atualização de sua senha; para evitar acessar um site fraudulento, atenha-se ao domínio oficial do site.